Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Raptor Train Botnet

Raptor Train Botnet

Por Mezo em Redes de Bots
Traduzir Para:
Português

Os pesquisadores de segurança cibernética identificaram um novo botnet que consiste em dispositivos comprometidos de small office/home office (SOHO) e Internet of Things (IoT). Acredita-se que essa botnet seja controlada por um grupo de ameaça de estado-nação chinês conhecido como Flax Typhoon, também conhecido como Ethereal Panda ou RedJuliett.

Os pesquisadores batizaram a botnet de 'Raptor Train'. Ela está ativa desde pelo menos maio de 2020 e atingiu um pico de 60.000 dispositivos comprometidos em junho de 2023.

Até o momento, mais de 200.000 dispositivos, incluindo roteadores SOHO, sistemas NVR/DVR, servidores de armazenamento conectado à rede (NAS) e câmeras IP, foram sequestrados pelo Raptor Train, tornando-o uma das maiores botnets de IoT patrocinadas pelo estado e vinculadas à China.

Os Especialistas Estimam que o Raptor Train Afetou Mais de 200.000 Dispositivos

Acredita-se que a infraestrutura do botnet tenha comprometido centenas de milhares de dispositivos desde seu início. Ele opera usando uma arquitetura de três camadas:

  • Nível 1: Dispositivos SOHO e IoT comprometidos
  • Nível 2: servidores de exploração, servidores de carga útil e servidores de comando e controle (C2)
  • Nível 3: nós de gerenciamento centralizados e uma interface de aplicativo Electron multiplataforma conhecida como Sparrow (também chamada de Node Comprehensive Control Tool ou NCCT)

Nessa configuração, as tarefas do bot são iniciadas a partir dos nós de gerenciamento 'Sparrow' de Nível 3, roteadas pelos servidores C2 de Nível 2 e, por fim, entregues aos bots no Nível 1, que formam a maior parte da rede da botnet.

Os dispositivos visados incluem roteadores, câmeras IP, DVRs e sistemas NAS de vários fabricantes, como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK e Zyxel.

A maioria dos nós de Nível 1 foi rastreada para locais nos EUA, Taiwan, Vietnã, Brasil, Hong Kong e Turquia. Cada nó tem uma vida útil média de 17,44 dias, sugerindo que o agente da ameaça pode facilmente reinfectar os dispositivos sempre que necessário.

Detalhes sobre a Cadeia de Ataque do Raptor Train

Em muitos casos, os operadores não implementaram um mecanismo de persistência que sobreviva a uma reinicialização. A persistência da botnet, no entanto, é suportada pela ampla gama de exploits disponíveis para vários dispositivos SOHO e IoT vulneráveis e o grande número desses dispositivos online, dando ao Raptor Train uma espécie de persistência 'inerente'.

Os nós são infectados com um implante na memória conhecido como Nosedive, uma variante personalizada do botnet Mirai, por meio de servidores de payload Tier 2 configurados especificamente para esse propósito. Esse binário ELF permite a execução de comandos, uploads e downloads de arquivos e ataques DDoS.

Os nós de nível 2 são rotacionados aproximadamente a cada 75 dias e estão localizados principalmente nos EUA, Cingapura, Reino Unido, Japão e Coreia do Sul. O número de nós C2 cresceu de cerca de 1-5 entre 2020 e 2022 para pelo menos 60 entre junho e agosto de 2024.

Esses nós de Nível 2 são versáteis, servindo não apenas como servidores de exploração e carga útil, mas também facilitando o reconhecimento de entidades alvo e incorporando novos dispositivos à botnet.

Várias Campanhas de Ataque do Raptor Tain foram Descobertas

Desde meados de 2020, pelo menos quatro campanhas distintas foram associadas à botnet Raptor Train em evolução, cada uma caracterizada por diferentes domínios raiz e dispositivos alvos:

  • Crossbill (maio de 2020 a abril de 2022) - Utilizou o domínio raiz C2 k3121.com e seus subdomínios associados.
  • Finch (julho de 2022 a junho de 2023) - Utilizou o domínio raiz C2 b2047.com e subdomínios C2 relacionados.
  • Canary (maio de 2023 a agosto de 2023) - Também usou o domínio raiz C2 b2047.com e seus subdomínios, mas contou com droppers de vários estágios.
  • Oriole (junho de 2023 a setembro de 2024) - Utilizou o domínio raiz C2 w8510.com e seus subdomínios associados.

A campanha Canary é particularmente notável por seu foco em modems ActionTec PK5000, câmeras IP Hikvision, NVRs Shenzhen TVT e roteadores ASUS. Ela se distingue por uma cadeia de infecção multicamadas que primeiro baixa um script bash, que então se conecta a um servidor de payload Tier 2 para buscar o Nosedive e um script bash de segundo estágio.

As Autoridades estão Tomando Medidas contra o Raptor Train e o Flax Typhoon

O Departamento de Justiça dos EUA (DoJ) anunciou a derrubada do botnet Raptor Train após uma operação policial autorizada pelo tribunal. O DoJ vinculou o ator da ameaça Flax Typhoon a uma empresa de capital aberto sediada em Pequim chamada Integrity Technology Group.

Essa rede de malware conectou milhares de dispositivos infectados a uma botnet gerenciada pelo Integrity Technology Group. Ela foi usada para executar atividades cibernéticas ameaçadoras disfarçadas como tráfego regular de Internet dos dispositivos infectados.

Durante a operação, a polícia apreendeu a infraestrutura dos invasores e emitiu comandos de desabilitação para o malware em dispositivos infectados. Os agentes da ameaça tentaram atrapalhar esse esforço lançando um ataque DDoS contra os servidores usados pelo Federal Bureau of Investigation (FBI) para executar a ordem judicial, mas essas tentativas não tiveram sucesso.

De acordo com o DoJ, o Integrity Technology Group operava um aplicativo online que permitia que os clientes fizessem login e controlassem dispositivos comprometidos. Este aplicativo, chamado 'KRLab' e comercializado sob a marca pública líder do Integrity Technology Group, incluía uma ferramenta chamada 'vulnerability-arsenal' para executar comandos cibernéticos prejudiciais.

Em junho de 2024, a botnet havia crescido para mais de 260.000 dispositivos, com vítimas localizadas na América do Norte (135.300), Europa (65.600), Ásia (50.400), África (9.200), Oceania (2.400) e América do Sul (800).

Além disso, mais de 1,2 milhões de registros de dispositivos comprometidos foram encontrados em um banco de dados MySQL hospedado em um servidor de gerenciamento Tier 3. Este servidor gerenciado pelo aplicativo Sparrow, foi usado para controlar os servidores botnet e C2 e incluiu um módulo para explorar redes de computadores usando vulnerabilidades conhecidas e de dia zero.

Tendendo

Mais visto

Carregando...